» Dossier «
Le Petit Guide du Réseau : 2ième partie
Avant de passer à la pratique, voici la deuxième partie consacrée elle aussi à la théorie. Nous allons aborder une notion importante pour les réseaux : la sécurité. Il ne s'agit pas ici de parler des antivirus (sous Mac OS, le problème est moins important que sous Windows, mais il existe néanmoins), mais plutôt de la façon dont un réseau peut être mis à l'abri d'intrusions externes, ceci à travers un élément essentiel : le Firewall.
[ Imprimer ] Par Fyve , le 02/09/2002
Avant de passer à la pratique, voici la deuxième partie consacrée elle aussi à la théorie. Nous allons aborder une notion importante pour les réseaux : la sécurité. Il ne sagit pas ici de parler des antivirus (sous Mac OS, le problème est moins important que sous Windows, mais il existe néanmoins), mais plutôt de la façon dont un réseau peut être mis à labri dintrusions externes, ceci à travers un élément essentiel : le Firewall.
Généralités
La sécurité informatique, de manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique couvre généralement trois principaux objectifs :
* L'intégrité, c'est à dire garantir que les données sont bien celles qu'on croit être
* La confidentialité, cest à dire sassurer que seules les personnes autorisées ont accès aux ressources.
* La disponibilité, cest à dire maintenir le bon fonctionnement du système informatique
Avec le développement des usages liés à l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs. Or tout ordinateur connecté à Internet (ou à un réseau) est susceptible d'être victime d'une intrusion dont le but est de compromettre le système ou daltérer les données.
Les pirates informatiques recherchent dans un premier temps des failles, c'est-à-dire une vulnérabilité nuisible à la sécurité du système, dans les protocoles, les OS, les applications ou le personnel dune entreprise ! Ils scrutent donc le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée (machine cible), puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet. En effet dans le cas d'une connexion permanente à haut débit, la machine cible est susceptible d'être connectée sans pour autant être surveillée, elle ne change pas souvent d@IP et la bande passante pour y accéder est plus large.
Ainsi, il est fortement conseillé, pour toutes entreprises ou particuliers connectés à Internet via une liaison haut-débit de se protéger des intrusions en installant un système pare-feu.
Les Firewalls
Un firewall (ou pare-feu) est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il contient un ensemble de règles prédéfinies permettant :
* soit d'autoriser uniquement les communications ayant été explicitement autorisées sur le principe : « Tout ce qui n'est pas explicitement autorisé est interdit »
* soit d'empêcher les échanges qui ont été explicitement interdits
La première méthode est la plus sûre mais elle est contraignante car elle impose de définir les besoins de manière précise. Le choix de l'une ou l'autre de ces méthodes dépend donc de la politique de sécurité que lon souhaite adopter.
Le fonctionnement des systèmes pare-feu est historiquement assuré par les routeurs. Il est basé sur le principe du filtrage de paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP (ou datagrammes) échangés entre deux machines (les machines d'un réseau sont repérées par une @IP).
Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes suivants, qui sont analysés par le firewall:
* L'@IP de la machine émettrice
* L'@IP de la machine réceptrice
* Le type de paquet (TCP, UDP,...)
* Le numéro de port (un port est un numéro associé à un service ou une application réseau)
Les @IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Lorsque le filtrage est basé sur les @IP, on parlera de filtrage par adresse (adress filtering). Si le filtrage est basé sur lanalyse du type de paquet et du port, on parlera de filtrage par protocole (protocol filtering).
Certains ports, associés à des services courants, ne sont généralement pas bloqués. Par contre, on peut les restreindre à certaines machines du réseau. Toutefois, il est recommandé de bloquer tous les ports qui ne sont pas indispensables, mais cest selon la politique de sécurité retenue.
Voici quelques ports souvent utilisés :
* ports 25 et 110 : courrier électronique
* port 80 : Web
* port 21 : FTP
* port 23 : Telnet. Cest un port critique car il permet un accès par terminal à une machine du réseau. Dans la mesure du possible, il est préférable dutiliser SSH que Telnet.
Le fonctionnement décrit ci-dessus ne s'attache qu'à examiner les paquets IP, ce qui correspond au niveau 3 du modèle OSI. Or, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible de prévoir les ports à laisser passer ou à interdire.
Pour y remédier, une entreprise a inventé un système de filtrage dynamique de paquets (stateful inspection) basé sur l'inspection des couches 3 et 4 du modèle OSI, afin deffectuer un suivi des transactions entre le client et le serveur et donc d'assurer la bonne circulation des données de la session en cours.
Mais si le filtrage dynamique est plus performant que le filtrage de paquets basique (aussi bien par adresse que par protocole), il ne protège pas pour autant des failles applicatives, c'est-à-dire les failles liées aux logiciels, ce qui représente la part la plus importante des risques en terme de sécurité.
Cest pourquoi il a été inventé le filtrage applicatif qui permet de filtrer les communications application par application (le travail seffectuant au niveau de la couche 7 du modèle OSI). Le filtrage applicatif suppose donc une connaissance de l'application, et notamment de la manière de laquelle elle structure les données échangées.
Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer des informations entre deux réseaux en effectuant un filtrage fin au niveau du contenu des paquets échangés. Il s'agit donc d'un dispositif performant assurant une bonne protection du réseau, pour peu qu'il soit correctement administré. En contrepartie une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications.
Les DMZ
Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public,...) il est conseillé de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise.
On parle alors de zone démilitarisée (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public.
Mac OS X et le Firewall
Apple livre avec Mac OSX un firewall, comme tout bon Unix qui se respecte. Ce composant de la couche Unix se nomme « ipfw ». Mais il a comme grand défaut de se paramétrer uniquement via le Terminal. Sil est efficace, son absence dergonomie graphique en a rebuté plus dun. Cest pour cela que certains éditeurs ont profité pour sengouffrer dans la brèche.
Avec Jaguar, Apple rectifie le tir. Il existe désormais un onglet « firewall / coupe-feu » dans le panneau partage de Préférences Système. Il y aura un paramétrage dorigine pré-configuré pour les services standards (web, ftp, etc.). Vous pourrez également faire vos propres règles.
Mais la concurrence sest bien installée. Voici 4 produits intéressants :
* Norton PersonnalFirewall : Que dire de ce logiciel ? Simple dutilisation et facile à configurer, il devrait satisfaire nombres dutilisateurs. Gros avantage, on peut larrêter dun simple geste (60 euros).
* Intego Net Barrier : Concurrent du précédant, il est très simple. Il dispose de paramétrages pré-configurés, mais on peut faire ses propres règles. Pour 48 euros, cest un bon produit pour ceux qui ne veulent pas aller trop loin.
* Firewalk X2 : se présente sous la forme dun panneau pour les Préférences Système. Entièrement graphique, il devrait plaire à tous et ne coute pas cher (35 euros).
* BrickHouse : Ce que Apple navait pas réalisé avant Jaguar, Brian Hill la fait. Cest le panneau graphique pour configurer ipfw. Simple et puissant, il coûte 28 euros.
Si vous ne pouvez ou ne voulez transformer votre modem en version routeur avec firewall, je ne peux que vous conseiller dacheter Jaguar ou de prendre un des 4 logiciels ci-dessus.
Mac OS X est un système plus ouvert que les précédents. Il est basé sur Unix qui a une architecture plus sensible aux attaques. Si la couche BSD sur laquelle repose notre OS est solide, il ne faut pas se voiler la face (noubliez pas que Darwin est en open source et si cela permet lamélioration et la résorption de bogues plus facile, cela permet aussi à des pirates de rechercher des failles de sécurité).
Aussi 2 conseils : faites les mises à jour de sécurité quand elles sortent et mettez un firewall si vous êtes en liaison Internet permanente.
Conclusion
Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue puisquil ne protège que les communications passant à travers lui. Tout accès au réseau extérieur ne transitant pas par lui ne sera pas protégé. La mise en place d'un firewall entre donc dans le cadre dune véritable politique sécuritaire pour une entreprise.
Pour les particuliers, la solution du firewall permet déviter la majeure partie des intrusions, souvent luvre de personnes jouant aux pirates de « métier ».
Liste des ports : http://www.iana.org/assignments/port-numbers